100K Returned - Malvertising Analysis
Actualités > Enquêtes
Enquête • 5 à 7 minutes de lecture

100 000 dollars récupérés — Une arnaque par publicité malveillante déjouée

Des escrocs russes se sont fait passer pour un projet de cryptomonnaie en utilisant des publicités malveillantes et un logiciel malveillant de vol de données. Nous avons détecté cette opération, rétabli l'accès aux portefeuilles et restitué plus de 100 000 dollars. Les fonds récupérés en surplus ont été reversés à @_SEAL_Org. Ci-dessous : détail des opérations, indicateurs de compromission (IOC) et enseignements tirés.

4 min de lecture· Mise à jour Mars 2026· PhishDestroy Intelligence
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
100 000 dollars restitués à la victime – traçabilité des fonds, gel des avoirs, restitution des fonds : infographie
Publié à l'origine le Moyen — PhishDestroy

Aperçu

Un projet de cryptomonnaie a été victime d'une attaque d'ingénierie sociale déguisée en partenariat publicitaire légitime. PhishDestroy a rétabli l'accès au portefeuille et a récupéré plus de 100 000 $ dans des fonds compromis, puis a réaffecté la récompense proposée à une organisation externe afin de préserver son indépendance.

Ce qu'il faut savoir

  • Le portefeuille avait déjà été piraté ; les fonds avaient déjà été transférés.
  • L'accès a été rétabli et plus de 100 000 $ a été empêché de rester avec l'agresseur.
  • Le projet proposait une récompense, qui a été refusée et réorientée vers @_SEAL_Org au lieu de cela.
  • Ce travail est réalisé de manière indépendante, à titre bénévole, et ne constitue pas un emploi rémunéré.

Comment fonctionnait l'arnaque

  • La victime a reçu une proposition de partenariat ou de publicité concernant un jeu basé sur la cryptomonnaie.
  • L'attaque semblait crédible : site web professionnel, présence bien établie sur X (Twitter), appels vidéo qui semblaient authentiques.
  • Au cours des appels, les pirates ont demandé l'installation d'un « logiciel de visualisation de documents professionnels » pour accéder aux fichiers.
  • Le « visualiseur » était malware de vol.
  • Les pirates ont retiré des fonds, échangé des jetons entre différentes chaînes et transféré des actifs vers leur propre portefeuille.

Mesures prises

  1. La compromission a été confirmée et tout mouvement ultérieur a été stoppé.
  2. L'accès au portefeuille a été rétabli pour son propriétaire légitime.
  3. Nous avons pris le contrôle du portefeuille de réception de l'attaquant et l'avons transféré à l'équipe de la victime.
  4. Mesures de suivi coordonnées visant à réduire le risque résiduel.
Résultat : Accès rétabli, contrôle repris, pirate bloqué.

Renforcement de la sécurité après un incident

Sécurité des appareils

  • Guide étape par étape pour manipuler les appareils infectés en toute sécurité
  • Isolement du réseau, révocation des sessions, rotation des identifiants et des clés, plan de reconstruction propre

Configuration opérationnelle

  • Un poste de travail neuf et propre, dédié aux opérations liées aux portefeuilles
  • Système d'exploitation réinstallé, téléchargements réservés aux fournisseurs, portefeuille matériel, nombre minimal d'extensions, profil de navigateur distinct, authentification à deux facteurs

Préparation aux examens médico-légaux

  • Recommandations concernant les instantanés de disque et la collecte des journaux système et d'application
  • Conservation des preuves en vue d'une éventuelle enquête judiciaire

Comprendre le concept d’« adverting »

Publicité Il s'agit d'une forme d'ingénierie sociale de type professionnel dans laquelle les cybercriminels imitent des processus de travail courants (achats publicitaires, partenariats, relations publiques) pour inciter les victimes à installer des « clients » malveillants.

Signes avant-coureurs courants :

  • « Installez notre gestionnaire/assistant publicitaire pour synchroniser vos créations »
  • « Utilisez notre client Zoom/Telegram personnalisé pour l'appel »
  • « Accédez à notre dossier de presse/accord de confidentialité via une visionneuse sécurisée »
Règle fondamentale : Si un flux de travail provenant de sources inconnues nécessite un client, un visualiseur ou un programme de mise à jour spécifique, partez du principe qu'il s'agit d'une menace. N'utilisez que les téléchargements officiels proposés par les éditeurs.

La récompense et l'autonomie

  • Le projet a généré un bénéfice, car les recettes ont dépassé les pertes initiales.
  • PhishDestroy a refusé de conserver la récompense.
  • L'intégralité de l'excédent a été affectée à @_SEAL_Org.
  • Cela permet de préserver notre indépendance : aucune source de financement ni aucune obligation.

Principes fondamentaux

  • Une totale indépendance — sans budget ni condition.
  • Une approche axée sur les résultats plutôt que sur la discussion.
  • Refus de toute « clientèle particulière » ou de tout logiciel non vérifié.
  • Une divulgation sélective qui aide les victimes, et non les auteurs de menaces.
  • Pression directe sur l'infrastructure de l'attaquant.

Recommandations pratiques

Pour les projets et les équipes

  • N'installez jamais de logiciels de visualisation, de clients ou de mise à jour provenant de sources tierces non vérifiées.
  • Téléchargez Zoom et Telegram uniquement depuis les sites officiels des éditeurs.
  • Évitez les liens sponsorisés concernant les portefeuilles, les ponts et les airdrops.
  • Privilégiez les portefeuilles matériels avec stockage hors ligne de la phrase de récupération.
  • En cas de compromission : révoquez les sessions, transférez les fonds, renouvelez les clés, réémettez les secrets et demandez immédiatement de l'aide.

Pour la communauté

Conclusion

Bien que des fonds aient déjà été transférés, PhishDestroy accès rétabli et a veillé à ce que le pirate ne puisse pas conserver les fonds dérobés. En refusant la récompense et en réaffectant les fonds excédentaires à d'autres fins, l'organisation préserve son modèle opérationnel bénévole et indépendant, axé sur une réponse rapide et efficace aux incidents.

#Adverting #WalletRecovery #StealerMalware #SocialEngineering #CryptoSecurity

Partager cette enquête

X / Twitter Telegram Reddit LinkedIn

Enquêtes connexes

Anatomy of Crypto Phishing: 8 Real Seed Phrase Stealers Reverse-Engineered
ENQUÊTE APPROFONDIE
Anatomie du phishing crypto : analyse technique de 8 véritables programmes de vol de phrases de récupération
$0 Takedowns: How We Disrupt Phishing Infrastructure
ENQUÊTE
Démantèlement à coût zéro : comment nous mettons à mal les infrastructures de phishing
Scammers Exposed: 4 Scam Backends Dissected
ENQUÊTE
Les escrocs démasqués : analyse de quatre infrastructures d'escroquerie
Avis de transparence. PhishDestroy est un projet à but non lucratif mené par des bénévoles. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les rendent possibles. Nous encourageons les lecteurs à évaluer toutes les informations de manière critique et indépendante. Lire notre déclaration de transparence complète →